重要
2025 年 5 月 1 日より、Azure AD B2C は新規のお客様向けに購入できなくなります。 詳細については、FAQ を参照してください。
Azure Active Directory B2C (Azure AD B2C) ディレクトリ ユーザー プロファイルには、名前、姓、市区町村、郵便番号、電話番号などの一連の組み込み属性が付属しています。 外部データ ストアを必要とせずに、独自のアプリケーション データを使用してユーザー プロファイルを拡張できます。
Microsoft Graph API では、Azure で使用できるほとんどの属性がサポートされています。この記事では、Azure AD B2C でサポートされるユーザー プロファイル属性について説明します。 また、Microsoft Graph でサポートされていない属性と、Azure AD B2C で使用すべきではない Microsoft Graph API 属性についても説明します。
重要
アカウントの資格情報、政府の ID 番号、カード所有者データ、財務アカウント データ、医療情報、機密情報などの機密性の高い個人データを格納するために、組み込み属性または拡張属性を使用しないでください。
外部システムと統合することもできます。 たとえば、認証には Azure AD B2C を使用できますが、顧客データの権限のあるソースとして外部の顧客関係管理 (CRM) または顧客ロイヤルティ データベースに委任できます。 詳細については、 リモート プロファイル ソリューションを参照してください。
Microsoft Entra ユーザー リソースの種類
Azure AD B2C ディレクトリ ユーザー プロファイルでは、次の表に示す ユーザー リソースの種類 の属性がサポートされています。 各属性に関する次の情報が提供されます。
- Azure AD B2C で使用される属性名 (異なる場合は後に Microsoft Graph の名で括弧内に記載)
- 属性のデータ型
- 属性の説明
- 属性が Azure portal で使用できるかどうか
- 属性をユーザー フローで使用できるかどうか
- 属性をカスタム ポリシー Microsoft Entra ID 技術プロファイル で使用できるかどうか、およびセクション (<InputClaims>、 <OutputClaims>、または <PersistedClaims>)
| 名前 | データの種類 | 説明 | Azure portal で使用可能 | ユーザー フローで使用されます | カスタム ポリシーで使用されます |
|---|---|---|---|---|---|
| アカウント有効化 | ボーリアン | ユーザー アカウントが有効か無効か: アカウントが有効な場合は true 、それ以外の場合は false。 | イエス | いいえ | Persisted、Output |
| 年齢層 | 糸 | ユーザーの年齢グループ。 指定できる値: null、Undefined、Minor、Adult、NotAdult。 | イエス | いいえ | Persisted、Output |
| alternativeSecurityId (アイデンティティ) | 糸 | 外部 ID プロバイダーからの 1 人のユーザー ID。 | いいえ | いいえ | Input、Persisted、Output |
| alternativeSecurityIds (アイデンティティ) | 代わりのセキュリティIDコレクション | 外部 ID プロバイダーからのユーザー ID のコレクション。 | いいえ | いいえ | Persisted、Output |
| 都市 | 糸 | ユーザーの居住都市。. 最大長 128。 | イエス | イエス | Persisted、Output |
| 未成年者の同意が提供された | 糸 | 未成年者に対して同意が提供されているかどうか。 使用できる値: null、許可、拒否、または不要。 | イエス | いいえ | Persisted、Output |
| 国 | 糸 | ユーザーの居住国/地域。. たとえば、 米国 または 英国です。 最大長 128。 | イエス | イエス | Persisted、Output |
| createdDateTime | 日付と時間 | ユーザー オブジェクトが作成された日付。 読み取り専用です。 | いいえ | いいえ | Persisted、Output |
| クリエーションタイプ | 糸 | ユーザー アカウントが Azure Active Directory B2C テナントのローカル アカウントとして作成された場合、値は LocalAccount または nameCoexistence です。 読み取り専用です。 | いいえ | いいえ | Persisted、Output |
| 生年月日 | 日付 | 生年月日。 | いいえ | いいえ | Persisted、Output |
| 部門 | 糸 | ユーザーが作業する部門の名前。 最大長 64。 | イエス | いいえ | Persisted、Output |
| ディスプレイ名 | 糸 | ユーザーの表示名。 最大長 256。 | イエス | イエス | Persisted、Output |
| ファクシミリ電話番号1 | 糸 | ユーザーのビジネス FAX マシンの電話番号。 | イエス | いいえ | Persisted、Output |
| givenName | 糸 | ユーザーの指定された名前 (名)。 最大長 64。 | イエス | イエス | Persisted、Output |
| 職務タイトル | 糸 | ユーザーの役職。 最大長 128。 | イエス | イエス | Persisted、Output |
| 変更不可能ID (immutableId) | 糸 | 通常、オンプレミスの Active Directory から移行されたユーザーに使用される識別子。 | いいえ | いいえ | Persisted、Output |
| 法定年齢グループ分類 | 糸 | 法的年齢グループの分類。 読み取り専用で、ageGroup および consentProvidedForMinor プロパティに基づいて計算されます。 使用可能な値: null、minorWithOutParentalConsent、minorWithParentalConsent、minorNoParentalConsentRequired、notAdult、および adult。 | イエス | いいえ | Persisted、Output |
| 法的国1 | 糸 | 法的な目的での国/地域。 | いいえ | いいえ | Persisted、Output |
| メールニックネーム | 糸 | ユーザーのメール エイリアス。 最大長 64。 | いいえ | いいえ | Persisted、Output |
| モバイル (携帯電話) | 糸 | ユーザーのプライマリ携帯電話番号。 最大長 64。 | イエス | いいえ | Persisted、Output |
| netId(ネットイド) | 糸 | Net ID。 | いいえ | いいえ | Persisted、Output |
| オブジェクトID | 糸 | ユーザーの一意識別子であるグローバル一意識別子 (GUID)。 例: 12345678-9abc-def0-1234-56789abcde。 読み取り専用、変更不可。 | 読み取り専用 | イエス | Input、Persisted、Output |
| otherMails(その他メール) | 文字列コレクション | ユーザーのその他の電子メール アドレスの一覧。 例: ["bob@contoso.com","Robert@fabrikam.com"] 注: アクセント文字は使用できません。 | はい (代替メール) | いいえ | Persisted、Output |
| パスワード | 糸 | ユーザー作成時のローカル アカウントのパスワード。 | いいえ | いいえ | 永続 化 |
| パスワードポリシー | 糸 | パスワードのポリシー。 これは、コンマで区切られた異なるポリシー名で構成される文字列です。 たとえば、「DisablePasswordExpiration や DisableStrongPassword」などです。 | いいえ | いいえ | Persisted、Output |
| 物理配送オフィス名 (オフィスの場所) | 糸 | ユーザーの勤務先のオフィスの場所。 最大長 128。 | イエス | いいえ | Persisted、Output |
| 郵便番号 | 糸 | ユーザーの住所の郵便番号。 郵便番号は、ユーザーの国/地域に固有です。 米国では、この属性には郵便番号が含まれています。 最大長 40。 | イエス | いいえ | Persisted、Output |
| 優先言語 | 糸 | ユーザーの優先言語。 既定の言語形式は RFC 4646 に基づいています。 名前は、言語に関連付けられた ISO 639 2 文字小文字カルチャ コードと、国または地域に関連付けられた ISO 3166 2 文字の大文字サブカルチャ コードの組み合わせです。 たとえば、 en-US、 es-ESなどです。 | いいえ | いいえ | Persisted、Output |
| refreshTokensValidFromDateTime (signInSessionsValidFromDateTime) | 日付と時間 | この時刻より前に発行された更新トークンは無効であり、無効な更新トークンを使用して新しいアクセス トークンを取得すると、アプリケーションでエラーが発生します。 この場合、アプリケーションは、承認されたエンドポイントに要求を行って、新しい更新トークンを取得する必要があります。 読み取り専用。 | いいえ | いいえ | アウトプット |
| signInNames (アイデンティティ) | 糸 | ディレクトリ内の任意の種類のローカル アカウント ユーザーの一意のサインイン名。 ローカル アカウントの種類を指定せずにサインイン値を持つユーザーを取得するには、この属性を使用します。 | いいえ | いいえ | インプット |
| signInNames.userName (アイデンティティ) | 糸 | ディレクトリ内のローカル アカウント ユーザーの一意のユーザー名。 特定のサインイン ユーザー名を持つユーザーを作成または取得するには、この属性を使用します。 Patch 操作中に PersistedClaims でこの属性を単独で指定すると、他の種類の signInNames が削除されます。 新しい種類の signInNames を追加する場合は、既存の signInNames も保持する必要があります。 注: ユーザー名にはアクセント文字は使用できません。 | いいえ | いいえ | Input、Persisted、Output |
| signInNames.phoneNumber (アイデンティティ) | 糸 | ディレクトリ内のローカル アカウント ユーザーの一意の電話番号。 この属性を使用して、特定のサインイン電話番号を持つユーザーを作成または取得します。 Patch 操作中に PersistedClaims でこの属性を単独で指定すると、他の種類の signInNames が削除されます。 新しい種類の signInNames を追加する場合は、既存の signInNames も保持する必要があります。 | いいえ | いいえ | Input、Persisted、Output |
| signInNames.emailAddress (アイデンティティ) | 糸 | ディレクトリ内のローカル アカウント ユーザーの一意の電子メール アドレス。 特定のサインイン電子メール アドレスを持つユーザーを作成または取得するには、この属性を使用します。 Patch 操作中に PersistedClaims でこの属性を単独で指定すると、他の種類の signInNames が削除されます。 新しい種類の signInNames を追加する場合は、既存の signInNames も保持する必要があります。 | いいえ | いいえ | Input、Persisted、Output |
| 状態 | 糸 | ユーザーの住所の都道府県。 最大長 128。 | イエス | イエス | Persisted、Output |
| 住所 | 糸 | ユーザーの勤務先の番地。 最大長 1024。 | イエス | イエス | Persisted、Output |
| strongAuthentication代替電話番号1 | 糸 | 多要素認証に使用されるユーザーのセカンダリ電話番号。 | イエス | いいえ | Persisted、Output |
| 強力認証メールアドレス1 | 糸 | ユーザーの SMTP アドレス。 例: "bob@contoso.com" この属性は、ユーザーの電子メール アドレスを格納するために、ユーザー名ポリシーを使用したサインインに使用されます。 その後、パスワード リセット フローで使用される電子メール アドレス。 この属性ではアクセント文字は使用できません。 | イエス | いいえ | Persisted、Output |
| strongAuthentication電話番号2 | 糸 | 多要素認証に使用されるユーザーのプライマリ電話番号。 | イエス | いいえ | Persisted、Output |
| 名字 | 糸 | ユーザーの姓 (ファミリ名または姓)。 最大長 64。 | イエス | イエス | Persisted、Output |
| telephoneNumber (businessPhones の最初のエントリ) | 糸 | ユーザーの勤務先の主要な電話番号。 | イエス | いいえ | Persisted、Output |
| ユーザープリンシパル名 | 糸 | ユーザーのユーザー プリンシパル名 (UPN)。 UPN は、インターネット標準 RFC 822 に基づくユーザーのインターネット スタイルのログイン名です。 ドメインは、テナントの検証済みドメインのコレクションに存在する必要があります。 このプロパティは、アカウントの作成時に必要です。 変更不可。 | いいえ | いいえ | Input、Persisted、Output |
| 使用場所 | 糸 | 国/地域でのサービスの可用性を確認するための法的要件により、ライセンスが割り当てられているユーザーに必要です。 NULL 値は許可されません。 2 文字の国/地域コード (ISO 標準 3166)。 たとえば、 US、 JP、 GB などです。 | イエス | いいえ | Persisted、Output |
| ユーザータイプ | 糸 | ディレクトリ内のユーザーの種類を分類するために使用できる文字列値。 値は Member にする必要があります。 読み取り専用。 | 読み取り専用 | いいえ | Persisted、Output |
| ユーザー状態 (外部ユーザー状態)3 | 糸 | Microsoft Entra B2B アカウントの場合のみ、招待が PendingAcceptance か Accepted かを示します。 | いいえ | いいえ | Persisted、Output |
| ユーザー状態変更日 (外部ユーザー状態変更日時)3 | 日付と時間 | UserState プロパティに対する最新の変更のタイムスタンプを表示します。 | いいえ | いいえ | Persisted、Output |
1 Microsoft Graph ではサポートされていません
2 詳細については、「MFA 電話番号属性」を参照してください。
3 Azure AD B2C では使用しないでください
必須の属性
Azure AD B2C ディレクトリにユーザー アカウントを作成するには、次の必須属性を指定します。
ID - 少なくとも 1 つのエンティティ (ローカルまたはフェデレーション アカウント) を使用します。
パスワード プロファイル - ローカル アカウントを作成する場合は、パスワード プロファイルを指定します。
表示名属性
displayNameは、ユーザーの Azure portal ユーザー管理と、Azure AD B2C がアプリケーションに返すアクセス トークンに表示する名前です。 このプロパティが必要です。
ID 属性
コンシューマー、パートナー、または市民である可能性のある顧客アカウントは、次の ID の種類に関連付けることができます。
- ローカル ID - ユーザー名とパスワードは、Azure AD B2C ディレクトリにローカルに格納されます。 多くの場合、これらの ID は "ローカル アカウント" と見なされます。
- フェデレーション ID - ソーシャル アカウントまたは エンタープライズ アカウントとも呼ばれ、ユーザーの ID は、Facebook、Microsoft、ADFS、Salesforce などのフェデレーション ID プロバイダーによって管理されます。
顧客アカウントを持つユーザーは、複数の ID でサインインできます。 たとえば、ユーザー名、電子メール、従業員 ID、政府 ID などです。 1 つのアカウントには、同じパスワードを使用して、ローカルとソーシャルの両方の複数の ID を持つことができます。
Microsoft Graph API では、ローカル ID とフェデレーション ID の両方が、identities 型のユーザー 属性に格納されます。
identities コレクションは、ユーザー アカウントへのサインインに使用される ID のセットを表します。 このコレクションを使用すると、ユーザーは関連付けられている任意の ID を使用してユーザー アカウントにサインインできます。 ID 属性には、最大 10 個の objectIdentity オブジェクトを含めることができます。 各オブジェクトには次のプロパティが含まれます。
| 名前 | タイプ | 説明 |
|---|---|---|
| サインイン方式 | ひも | ディレクトリ内のユーザー サインインの種類を指定します。 ローカル アカウントの場合: emailAddress、 emailAddress1、 emailAddress2、 emailAddress3、 userName、またはその他の任意の種類。 ソーシャル アカウントは、 federatedに設定する必要があります。 |
| 発行者 | ひも | ID の発行者を指定します。 ローカル アカウント ( signInType が federatedされていない場合) の場合、このプロパティはローカル B2C テナントの既定のドメイン名です (たとえば、 contoso.onmicrosoft.com)。 ソーシャル ID ( signInType が federated) の場合、値は発行者の名前です (例: facebook.com |
| issuerAssignedId (発行者割り当て済みID) | ひも | 発行者によってユーザーに割り当てられた一意の識別子を指定します。
発行者とissuerAssignedId の組み合わせは、テナント内で一意である必要があります。 ローカル アカウントの場合、 signInType が emailAddress または userName に設定されている場合、ユーザーのサインイン名を表します。signInType が次に設定されている場合:
|
次の JSON スニペットは、 サインイン 名を持つローカル アカウント ID、サインインとしての電子メール アドレス、およびソーシャル ID を持つ ID 属性を示しています。
"identities": [
{
"signInType": "userName",
"issuer": "contoso.onmicrosoft.com",
"issuerAssignedId": "johnsmith"
},
{
"signInType": "emailAddress",
"issuer": "contoso.onmicrosoft.com",
"issuerAssignedId": "jsmith@yahoo.com"
},
{
"signInType": "federated",
"issuer": "facebook.com",
"issuerAssignedId": "5eecb0cd"
}
]
フェデレーション ID の場合、id プロバイダーに応じて、 issuerAssignedId は、アプリケーションまたは開発アカウントごとの特定のユーザーの一意の値です。 ソーシャル プロバイダーまたは同じ開発アカウント内の別のアプリケーションが割り当てるのと同じアプリケーション ID で Azure AD B2C ポリシーを構成します。
パスワード プロファイル プロパティ
ローカル ID の場合、 passwordProfile 属性が必要であり、ユーザーのパスワードが含まれています。
forceChangePasswordNextSignIn属性は、ユーザーが次回のサインイン時にパスワードをリセットする必要があるかどうかを示します。 強制パスワード リセットを処理するには、 強制パスワード リセット フローの設定に関する手順を使用します。
フェデレーション (ソーシャル) ID の場合、 passwordProfile 属性は必要ありません。
"passwordProfile" : {
"password": "password-value",
"forceChangePasswordNextSignIn": false
}
パスワード ポリシー属性
Azure AD B2C パスワード ポリシー (ローカル アカウントの場合) は、Microsoft Entra ID の強力なパスワード強度 ポリシーに基づいています。 Azure AD B2C のサインアップまたはサインインとパスワードリセットのポリシーには、この強力なパスワード強度が必要であり、パスワードの有効期限は切れない。
ユーザー移行シナリオでは、移行するアカウントのパスワード強度が、Azure AD B2C によって適用される 強力なパスワード強度 よりも弱い場合は、強力なパスワード要件を無効にすることができます。 既定のパスワード ポリシーを変更するには、 passwordPolicies 属性を DisableStrongPassword に設定します。 たとえば、作成されたユーザー要求を次のように変更できます。
"passwordPolicies": "DisablePasswordExpiration, DisableStrongPassword"
MFA 電話番号属性
多要素認証 (MFA) に電話を使用する場合、携帯電話はユーザー ID の確認に使用されます。 新しい電話番号をプログラムで 追加 、 更新、 取得、または 削除 するには、MS Graph API の電話認証方法を使用します。
Azure AD B2C のカスタム ポリシーでは、電話番号はstrongAuthenticationPhoneNumber クレームの種類を通じて利用可能です。
拡張属性
顧客向けアプリケーションには、収集する情報に固有の要件があります。 Azure AD B2C テナントには、指定された名前、姓、郵便番号などのプロパティに格納されている情報の組み込みセットが付属しています。 Azure AD B2C では、各顧客アカウントに格納されている一連のプロパティを拡張できます。 詳細については、「Azure Active Directory B2C でのユーザー属性の追加とユーザー入力のカスタマイズ」を参照してください。
拡張属性は、ディレクトリ内のユーザー オブジェクトの スキーマを拡張 します。 拡張属性は、ユーザーのデータが含まれている場合でも、アプリケーション オブジェクトにのみ登録できます。 拡張属性は、 b2c-extensions-appというアプリケーションにアタッチされます。 このアプリケーションは、ユーザー データを格納するために Azure AD B2C によって使用されるため、変更しないでください。 このアプリケーションは、Microsoft Entra アプリの登録で確認できます。
。
注
- 任意のユーザー アカウントに最大 100 個の拡張属性を書き込むことができます。
- b2c-extensions-app アプリケーションが削除された場合、それらの拡張属性は、すべてのユーザーから、含まれるすべてのデータと共に削除されます。
- アプリケーションによって拡張機能属性が削除されると、すべてのユーザー アカウントから削除され、値が削除されます。
Microsoft Graph API の拡張属性には、次のような規則 extension_ApplicationClientID_AttributeNameを使用して名前が付けられます。
-
ApplicationClientIDは、 です。 拡張機能アプリを見つける方法について説明します。 -
AttributeNameは拡張属性の名前です。
拡張属性の名前の作成に使用される アプリケーション (クライアント) ID には、ハイフンは含まれません。 例えば次が挙げられます。
"extension_831374b3bd5041bfaa54263ec9e050fc_loyaltyNumber": "212342"
スキーマ拡張機能で属性を定義する場合は、次のデータ型がサポートされます。
| タイプ | 注釈 |
|---|---|
| ボーリアン | 使用可能な値: true または false。 |
| 日付と時間 | ISO 8601 形式で指定する必要があります。 値は UTC で格納されます。 |
| 整数 | 32 ビット値です。 |
| 糸 | 最大 256 文字です。 |
関連コンテンツ
拡張属性の詳細については、以下を参照してください。